Las credenciales comprometidas y las cuentas usurpadas pueden ser la llave maestra para acceder a sus redes y sistemas corporativos. Ante la posibilidad de obtener una recompensa tan lucrativa, los ciberdelincuentes centran cada vez más sus ataques en las identidades para iniciar la filtración de datos, hacerse con el control de los entornos de TI y lanzar ataques de ransomware.
Para conocer mejor cómo abordan los líderes del sector este cambio en el panorama de las amenazas, he participado recientemente en un webinar dirigido por los directivos de Proofpoint Tim Choi, vicepresidente de Marketing de productos, y Ofer Israeli, vicepresidente de grupo y director general de Identity Threat Defense.
En este webinar hablamos sobre por qué se está agravando el problema de los ataques basados en la identidad, los retos de identificar a los usuarios vulnerables y cómo proteger a las personas y los datos frente a ataques que usan cuentas comprometidas.
La facilidad que ofrecen las identidades comprometidas
En nuestro sector se utiliza a menudo la expresión “centrado en las personas”. Sabemos que el objetivo de los ciberdelincuentes son las personas y por ese motivo lanzan campañas de ransomware o filtran datos. Sin embargo, en la actualidad, el ataque no acaba ahí.
Ahora los ciberdelincuentes atacan a las personas con el objetivo de vulnerar sus identidades. A continuación, utilizan estas identidades para elevar su nivel de acceso y sus privilegios. Después, se desplazan lateralmente en las organizaciones para conseguir inteligencia, lanzar otros ataques y robar más datos.
Gracias a herramientas como Mimikatz y Bloodhound, que pueden identificar relaciones ocultas, permisos de usuarios y rutas de ataque, el proceso completo de ataque contra identidades, robo de credenciales y escalamiento de privilegios es ahora muy sencillo.
Conocer las identidades de alto riesgo
Para incrementar las opciones de que su ataque tenga éxito los agresores deben saber dos cosas: dónde residen los datos que buscan y qué identidad les dará acceso a ellos.
La mayor parte de las veces la respuesta a esta última pregunta es una cuenta de servicio. Estas cuentas no siempre están protegidas con una solución de administración de acceso con privilegios. Con frecuencia ofrecen acceso a distintos archivos y sistemas con contraseñas estáticas que no cumplen su función.
Los usuarios normales que actúan como administradores en la sombra también tienen identidades de alto riesgo. Normalmente no se detectan como cuentas con privilegios, pero suelen heredar todo tipo de acceso a través de su pertenencia a grupos de Active Directory, lo que es complicado y difícil de controlar.
¿Dónde son más vulnerables las organizaciones a los ataques de identidad?
La mayoría de las organizaciones llevan muchos años batallando con la administración de acceso e identidades (IAM). El acceso se está convirtiendo en un órgano vital y los equipos de seguridad deben estar seguros de que saben cómo funciona. Hay tres áreas básicas de preocupación:
- Las credenciales compartidas
- Las credenciales almacenadas
- Los secretos compartidos
La mayoría de los usuarios tendrán decenas, cuando no cientos, de nombres de usuarios y contraseñas para distintas cuentas. Y probablemente reutilicen las credenciales al menos en algunas de estas cuentas. Basta con que un sitio sufra un ataque para que esas credenciales puedan difundirse a otras muchas cuentas y sistemas.
En cuanto al almacenamiento de las contraseñas, las empresas deben extremar las precauciones. Para empezar, se deben guardar fuera del entorno en el que se utilizan.
Desafortunadamente, muchos ataques contra la identidad comienzan por lo que se conoce como drive-by hacking: los ciberdelincuentes intentan obtener las credenciales desde volcados de contraseñas o fugas de datos y prueban suerte difundiendo (spraying) la contraseña a varias cuentas de la empresa.
Protección de las identidades
La ciberseguridad es como una guerra asíncrona. Para cuando hemos diseñado un nuevo control o mecanismo de defensa, los ciberdelincuentes ya han encontrado la forma de sortearlo. Y eso es precisamente lo que está ocurriendo ahora.
Hay montones de datos estadísticos que confirman que hasta en los casos de las mayores fugas de datos, los atacantes entran por la puerta principal. ¿Cómo? Pues porque consiguen acceder a credenciales e identidades compartidas que tienen un nivel de acceso que nadie en la organización atacada conocía.
Fundamentalmente se trata de un problema de higiene. Todos somos culpables de dejarnos arrastrar por nuevas y sofisticadas funciones de seguridad de gran complejidad. Pero se nos escapa lo más básico: una simple higiene de seguridad y una mayor visibilidad y conocimiento del entorno.
Cómo pueden ayudar Proofpoint Spotlight y Proofpoint Shadow
Las soluciones Spotlight y Shadow de Proofpoint abordan los dos aspectos del problema de los ataques basados en la identidad:
- Spotlight gestiona el aspecto de la higiene, descubriendo y depurando las identidades vulnerables de su entorno.
- Por otro lado, Shadow crea un entorno hostil para los atacantes, colocando trampas para engañarlos de manera que inicien el desplazamiento lateral, lo que alertará a los equipos de seguridad sobre su presencia.
De esta forma obtiene una mayor visibilidad para conocer y solucionar las identidades de riesgo y, al mismo tiempo, toma medidas para detectar y frenar el escalamiento de privilegios y los daños a sus datos, sistemas y redes.
Las identidades son la joya de la corona de las empresas
Los ciberdelincuentes han comenzado a centrarse en identidades comprometidas para facilitar la filtración de datos, tomar el control de los entornos de TI y lanzar ataques de ransomware. Vea el webinar completo, “Identity Is the New Attack Surface” (La identidad es la nueva superficie de ataque) para ampliar la información sobre este tema.
Consiga su copia gratuita de New Perimeters
Encontrará más artículos y aprenderá a romper la cadena de ataque con Identity Threat Defense en New Perimeters – Identity is the New Attack Surface.